《智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全技術(shù)要求》

ICS35.030

CCSL80

DB4403

深圳市地方標準

DB4403/TXXX—XXXX

智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全技術(shù)要求

Technicalrequirementsfornetworksecurityofintelligentconnected

vehicles

(

（送審稿）

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

深圳市市場監(jiān)督管理局發(fā)布

DB4403/TXXX—XXXX

智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全技術(shù)要求

1范圍

本文件提出了智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全總體框架，規(guī)定了車載設(shè)備安全要求、通信安全要求、應(yīng)用服

務(wù)安全要求、數(shù)據(jù)安全要求、網(wǎng)絡(luò)安全保障要求。

本文件適用于指導智能網(wǎng)聯(lián)汽車相關(guān)生產(chǎn)方、運營方、服務(wù)提供方等對智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全的建

設(shè)和實施。

2規(guī)范性引用文件

GB/T25069—2022信息安全技術(shù)術(shù)語

GB/T40856—2021車載信息交互系統(tǒng)信息安全技術(shù)要求及試驗方法

GB/T40861—2021汽車信息安全通用技術(shù)要求

3術(shù)語和定義

GB/T25069界定的以及下列術(shù)語和定義適用于本文件。

3.1

智能網(wǎng)聯(lián)汽車intelligentconnectedvehicle

利用車載傳感器、控制器、執(zhí)行器、通信裝置等，實現(xiàn)環(huán)境感知、智能決策和/或自動控制、協(xié)同

控制、信息交互等功能的汽車的總稱。

4縮略語

下列縮略語適用于本文件。

C-V2X:蜂窩車聯(lián)網(wǎng)(Cellular-V2X)

DDOS:布式拒絕服務(wù)(DistributedDenialofService)

DSRC:專用短程通信(DedicatedShortRangeCommunications)

OBD:車載診斷系統(tǒng)(On-BoardDiagnostic)

OBU:車載單元(OnboardUnit）

RFID:射頻識別(RadioFrequencyIdentification)

USB:通用串行總線(UniversalSerialBus)

V2X:車對車、車對外界的信息交換(VehicletoEverything)

Wi-Fi:無線保真技術(shù)(WirelessFidelity)

3G:第三代移動通信系統(tǒng)(3rdGeneration)

4G:第四代移動通信系統(tǒng)(4thGeneration)

5G:第五代移動通信系統(tǒng)(5thGeneration)

5網(wǎng)絡(luò)安全總體框架

1

DB4403/TXXX—XXXX

智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全框架主要根據(jù)智能網(wǎng)聯(lián)汽車的基本構(gòu)成進行劃分，分為智能網(wǎng)聯(lián)汽車車載設(shè)

備安全、智能網(wǎng)聯(lián)汽車通信安全、智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全、智能網(wǎng)聯(lián)汽車應(yīng)用服務(wù)安全和智能網(wǎng)聯(lián)汽車

網(wǎng)絡(luò)安全保障智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全總體框架見圖1。

智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全保障要求智能網(wǎng)聯(lián)汽車

數(shù)據(jù)安全要求

安全監(jiān)測應(yīng)急響應(yīng)

數(shù)據(jù)通用要求

密碼安全算法安全風險評估

系統(tǒng)監(jiān)測應(yīng)急預案

通報預警響應(yīng)處置

數(shù)據(jù)分類分級

數(shù)據(jù)安全評估

數(shù)據(jù)安全管控

智能網(wǎng)聯(lián)汽車通信安全要求智能網(wǎng)聯(lián)汽車應(yīng)用服務(wù)安全要求

車內(nèi)通信車外通信

車載應(yīng)用安全數(shù)據(jù)收集安全

車外通信通用技術(shù)

通用技術(shù)要求要求

有線通信

安全隔離聯(lián)網(wǎng)平臺安全數(shù)據(jù)存儲安全

安全防護近距離無線通信

蜂窩網(wǎng)絡(luò)通信

V2X通信

數(shù)據(jù)傳輸安全

智能網(wǎng)聯(lián)汽車車載設(shè)備安全要求數(shù)據(jù)使用安全

數(shù)據(jù)共享安全

安全啟動操作系統(tǒng)硬件安全模塊接口安全入侵檢測

數(shù)據(jù)銷毀安全

圖1智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全總體框架

6車載設(shè)備安全要求

6.1安全啟動

應(yīng)具備安全啟動的功能,可通過可信根實體對安全啟動所使用的可信根進行保護。

6.2操作系統(tǒng)

操作系統(tǒng)安全包括如下要求：

a)應(yīng)具備權(quán)限管理機制，刪除非必要賬戶，限制提權(quán)操作；

b)應(yīng)具備訪問控制機制，依據(jù)安全策略控制用戶賬號、進程等主體對客體的訪問；

c)應(yīng)僅允許必要端口對外開放，關(guān)閉不必要的端口、進程或服務(wù)；

d)應(yīng)對開發(fā)者調(diào)試接口進行管控，禁止非授權(quán)訪問；

e)應(yīng)具有內(nèi)存保護機制以降低緩沖區(qū)溢出攻擊的風險；

f)不應(yīng)存在未經(jīng)處置的國家權(quán)威漏洞平臺公開發(fā)布6個月及以上的高危安全漏洞；

g)系統(tǒng)升級時，應(yīng)建立升級設(shè)備與升級服務(wù)器或者離線升級設(shè)備之間的認證機制，認證機制宜

采用雙向認證機制；

h)系統(tǒng)升級時，應(yīng)對升級包進行完整性和合法性的驗證，防止升級包被惡意篡改。

6.3硬件安全模塊

硬件安全模塊安全包括如下要求：

2

DB4403/TXXX—XXXX

a)應(yīng)能通過密碼學算法確認使用者身份，可通過外部授權(quán)（對稱驗證）或非對稱驗證等方式實

現(xiàn)；

b)應(yīng)設(shè)置權(quán)限管理機制，確定權(quán)限類別、訪問權(quán)限屬性和權(quán)限范圍。

6.4接口安全

接口安全包括如下要求：

a)硬件調(diào)試接口和硬件測試接口應(yīng)禁用或采用安全訪問控制措施；

b)OBD診斷接口應(yīng)具備身份鑒別功能；

c)板載芯片及印制電路板不應(yīng)存在對芯片內(nèi)存進行訪問或者更改芯片功能的隱蔽接口；

d)不應(yīng)存在隱藏的系統(tǒng)通信接口；

e)應(yīng)采用身份鑒別和訪問控制措施實現(xiàn)對系統(tǒng)通信接口的訪問；

f)宜記錄關(guān)鍵接口的操作日志。

6.5入侵檢測

車載核心設(shè)備具備入侵檢測功能，其安全包括如下要求：

a)應(yīng)檢測是否存在被Dos/DDos攻擊、后門連入、異常來源身份檢測以及其他異常連接信息；

b)應(yīng)檢測是否存在被移植惡意程序所導致的系統(tǒng)資源異常消耗；

c)應(yīng)檢測是否存在后門或可調(diào)式的應(yīng)用，如telnetd、sshd、adbd等，是否有其他未知、惡意

進程存在；

d)應(yīng)檢測是否被上傳惡意文件，或文件篡改行為；

e)應(yīng)檢測是否對系統(tǒng)關(guān)鍵配置的增刪改進行監(jiān)控，防止如域隔離策略被刪除的情況；

f)當系統(tǒng)被入侵并有進一步操作時應(yīng)進行告警、記錄；

g)應(yīng)能通過在線升級和離線升級方式，實現(xiàn)對特征庫、規(guī)則文件等的升級；

h)宜具備網(wǎng)絡(luò)流量審計機制，對汽車內(nèi)部正常通信流量和異常流量進行實時監(jiān)測，并提供分析

統(tǒng)計和告警；

i)宜具有網(wǎng)絡(luò)安全監(jiān)測機制，對各種網(wǎng)絡(luò)行為進行實時監(jiān)測，發(fā)現(xiàn)報文異常、系統(tǒng)入侵、異常

流量攻擊等，并提供分析統(tǒng)計和警告等安全響應(yīng)動作；

j)應(yīng)對智能網(wǎng)聯(lián)汽車系統(tǒng)運行異常、配置異常、通信異常、越權(quán)訪問、系統(tǒng)資源異常、流量異

常、用戶異常、文件未授權(quán)訪問、文件未授權(quán)修改進行監(jiān)測；

k)應(yīng)對智能網(wǎng)聯(lián)汽車數(shù)據(jù)異常、數(shù)據(jù)偽造、數(shù)據(jù)竊取、日志異常進行監(jiān)測；

l)應(yīng)對智能網(wǎng)聯(lián)汽車各種攻擊行為進行監(jiān)測，監(jiān)測的攻擊類型包括但不限于：

1)端口掃描；

2)強力攻擊；

3)木馬后門攻擊；

4)拒絕服務(wù)攻擊；

5)緩沖區(qū)溢出攻擊；

6)IP碎片攻擊；

7)網(wǎng)絡(luò)蠕蟲攻擊；

8)文件脆弱性攻擊；

9)瀏覽器脆弱性攻擊；

10)應(yīng)用層安全漏洞攻擊。

7通信安全要求

3

DB4403/TXXX—XXXX

7.1車內(nèi)通信

7.1.1通用技術(shù)要求

車內(nèi)通信應(yīng)滿足GB∕T40861—2021的的技術(shù)要求。

7.1.2安全隔離

安全隔離包括如下要求：

a)汽車內(nèi)部網(wǎng)絡(luò)的設(shè)計，應(yīng)根據(jù)各個功能區(qū)域的重要程度、安全屬性等因素，將車內(nèi)網(wǎng)絡(luò)劃分

為不同安全區(qū)域，各安全區(qū)域之間應(yīng)進行網(wǎng)絡(luò)隔離；

b)各安全區(qū)域之間應(yīng)建立安全的訪問路徑，防止非授權(quán)訪問，宜采用邊界訪問控制機制對來訪

的報文進行控制（如采用報文過濾機制、報文過載控制機制和用戶訪問權(quán)限控制機制等）。

7.1.3安全防護

安全防護包括如下要求：

a)宜采用加密等安全措施保護關(guān)鍵通信數(shù)據(jù)的機密性；

b)應(yīng)保障汽車內(nèi)部通信報文的完整性、真實性和合法性，防止報文被篡改和偽造；

c)應(yīng)具備防止重放攻擊機制，如新鮮值機制保護報文的時效性；

d)應(yīng)具有密鑰和證書的管理功能，對用于安全通信的密鑰和證書進行全生命周期的管理；

e)應(yīng)對重要信息安全告警生成日志記錄，應(yīng)將日志進行權(quán)限訪問限制，避免日志記錄被篡改。

7.2車外通信

7.2.1車外通信通用技術(shù)要求

車外通信通用技術(shù)要求應(yīng)符合GB/T40861—2021中6.3.2規(guī)定的技術(shù)要求。

7.2.2有線通信

有線通信是通過USB、OBD等介質(zhì)接口與車內(nèi)網(wǎng)絡(luò)進行通信，其安全包括如下要求：

a)應(yīng)使用訪問控制措施限制OBD接口對重要服務(wù)的訪問請求,防止攻擊者通過OBD接口對汽車總

線網(wǎng)絡(luò)進行攻擊；

b)宜采用身份認證來確保接入OBD接口的設(shè)備為合法授權(quán)的設(shè)備，防止黑客通過未授權(quán)的OBD

設(shè)備攻擊汽車總線網(wǎng)絡(luò)；

c)應(yīng)對USB端口接入設(shè)備中的文件進行訪問控制，指定簽名的應(yīng)用軟件安裝或執(zhí)行。

7.2.3近距離無線通信

近距離無線通信是通過Wi-Fi、藍牙、RFID等通信信道在車載網(wǎng)絡(luò)中進行通信，其安全包括如下要

求：

a)應(yīng)具備啟用與關(guān)閉近距離無線連接的管理功能；

b)應(yīng)對請求連接的設(shè)備進行身份認證；

c)已建立的短距離通信，應(yīng)在相應(yīng)的輸出設(shè)備上有明確的連接狀態(tài)顯示；

d)車載端的應(yīng)用調(diào)用短距離元線連接功能時，車載端應(yīng)能夠明示用戶，并提供配置能力和符合

場景的配置方式；

e)應(yīng)使用安全協(xié)議進行通訊。

7.2.4蜂窩網(wǎng)絡(luò)通信

4

DB4403/TXXX—XXXX

蜂窩網(wǎng)絡(luò)通信是通過3G、4G、5G等通信通道在車載網(wǎng)絡(luò)中進行通信,其安全包括如下要求:

a)與網(wǎng)絡(luò)側(cè)通信設(shè)備之間建立通信連接，應(yīng)充分使用底層通信技術(shù)提供的認證鑒權(quán)、加密解密

等安全機制，平臺側(cè)應(yīng)具備對接入請求進行二次鑒全的能力，確保接入真實可靠的網(wǎng)絡(luò)和請

求接入的合法性；

b)與核心業(yè)務(wù)平臺的通信信道，應(yīng)與公開網(wǎng)絡(luò)邏輯隔離；

c)宜識別來自蜂窩網(wǎng)絡(luò)的非法連接請求，過濾惡意數(shù)據(jù)包；

d)應(yīng)采取技術(shù)措施，不應(yīng)使用不必要的蜂窩網(wǎng)絡(luò)通信功能。

7.2.5V2X通信

V2X通信是OBU設(shè)備通過C-V2X、DSRC等通信信道在車載網(wǎng)絡(luò)中進行通信，其安全包括如下要求：

a)應(yīng)具備符合標準的身份標識，并可以對所連接的通信節(jié)點的設(shè)備進行身份驗證；

b)應(yīng)使用注冊證書和假名證書相結(jié)合的方式，為V2X消息提供數(shù)字簽名服務(wù)。其中，注冊證書

是車輛或者行人參與V2X直連通信的身份憑證；假名證書用來對V2X直連通信發(fā)送的消息進

行數(shù)字簽名；

c)證書由統(tǒng)一的云端管理系統(tǒng)進行分發(fā)，參與V2X直連通信的車輛或者行人應(yīng)按照流程，向云

端系統(tǒng)提供身份信息，并且在通過身份認證后獲得相應(yīng)的注冊證書，并進一步獲得假名證書；

d)云端管理系統(tǒng)和V2X通信設(shè)備均應(yīng)申請支持顯式證書、隱式證書等多種方式，具體采用的方

式由云端管理系統(tǒng)和V2X通信設(shè)備協(xié)商確定；

e)OBU設(shè)備應(yīng)依據(jù)云端管理系統(tǒng)下發(fā)的安全策略使用安全服務(wù)，并保持與云端管理系統(tǒng)的同步更

新；

f)OBU設(shè)備宜具備向云端管理系統(tǒng)上報有惡意行為的V2X通信設(shè)備的能力；

g)OBU設(shè)備應(yīng)對所接收到的其它V2X通信設(shè)備發(fā)送的數(shù)據(jù)進行簽名驗證，并且只對通過驗證的數(shù)

據(jù)進行進一步的處理；未通過驗證的消息將被丟棄；

h)OBU設(shè)備應(yīng)支持使用安全運行環(huán)境、安全單元或安全處理器等對敏感信息（如密鑰、證書等）

的保護；

i)宜保護V2V/V2I通信終端的匿名性和隱私性，保證V2X設(shè)備不應(yīng)被未經(jīng)監(jiān)管機構(gòu)或用戶授權(quán)

的一方在該區(qū)域追蹤。

8應(yīng)用服務(wù)安全要求

8.1聯(lián)網(wǎng)平臺

聯(lián)網(wǎng)平臺安全包括如下要求：

a)應(yīng)保障聯(lián)網(wǎng)平臺基礎(chǔ)設(shè)備安全，對設(shè)備的物理端口、服務(wù)端口和系統(tǒng)資源等進行實時監(jiān)控，

出現(xiàn)問題及時上報和處理，確保系統(tǒng)的穩(wěn)定性和可靠性；

b)聯(lián)網(wǎng)平臺應(yīng)進行安全域劃分，并在邊界部署防火墻或在核心交換機上配置防火墻模塊、訪問

控制策略（如：IPS入侵防御系統(tǒng)、ACL訪問控制列表等）實現(xiàn)訪問控制；

c)聯(lián)網(wǎng)平臺定期檢測服務(wù)器的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)配置等，識別安全隱患，評測安全風險，

提供改進措施；

d)聯(lián)網(wǎng)平臺應(yīng)對通信接口進行訪問控制，防止非法終端接入、非法數(shù)據(jù)注入等；

e)聯(lián)網(wǎng)平臺與客戶端的通信應(yīng)使用HTTPS傳輸；

5

DB4403/TXXX—XXXX

f)聯(lián)網(wǎng)平臺應(yīng)在邊界部署WEB攻擊防范設(shè)備，如WEB應(yīng)用防火墻（WAF），實現(xiàn)對WEB攻擊的檢

測和阻斷，防止接口越權(quán)控制、SQL注入、XSS攻擊、越權(quán)漏洞利用、暴力破解、文件上傳漏

洞利用、CSRF等；

g)聯(lián)網(wǎng)平臺本地存儲的敏感數(shù)據(jù)應(yīng)進行加密；

h)聯(lián)網(wǎng)平臺應(yīng)采用IDS對客戶端傳輸?shù)臄?shù)據(jù)進行檢測；

i)聯(lián)網(wǎng)平臺宜對平臺狀態(tài)、行為、數(shù)據(jù)變化進行監(jiān)控，檢測異常行為并及時告警。

8.2車載應(yīng)用

車載系統(tǒng)應(yīng)用安全包括如下要求：

a)應(yīng)對第三方應(yīng)用的訪問權(quán)限及資源進行訪問控制，對控制外的應(yīng)用安裝應(yīng)提示風險、控制訪問

權(quán)限；

b)不應(yīng)存在由權(quán)威漏洞平臺6個月前公布且未經(jīng)處置的高危及以上的安全漏洞；

c)不應(yīng)在代碼中嵌入私鑰；

d)車載應(yīng)用安全應(yīng)滿足GB/T40856—2021中5.4.2應(yīng)用軟件代碼安全要求。

9數(shù)據(jù)安全要求

9.1數(shù)據(jù)通用要求

9.1.1數(shù)據(jù)分類分級

數(shù)據(jù)分類分級包括如下要求：

a)參考GB/T35273—2020、DB4403/T271—2022等數(shù)據(jù)安全標準要求，制定本組織的數(shù)據(jù)分類

分級和安全保護制度，特別是智能網(wǎng)聯(lián)汽車相關(guān)個人信息和重要數(shù)據(jù)的識別和保護策略；

b)參考DB4403/T271—2022形成數(shù)據(jù)資產(chǎn)清單，并明確數(shù)據(jù)資產(chǎn)類型、數(shù)據(jù)量、存放位置、數(shù)

據(jù)關(guān)聯(lián)系統(tǒng)、數(shù)據(jù)共享情況、數(shù)據(jù)出境情況等。

9.1.2數(shù)據(jù)安全評估

數(shù)據(jù)安全評估包括如下要求：

a)涉及處理敏感個人信息或者國家規(guī)定的重要數(shù)據(jù)、核心數(shù)據(jù)的機構(gòu)，應(yīng)按照有關(guān)規(guī)定定期開

展風險評估，并向有關(guān)主管部門報送風險評估報告；

b)涉及存在數(shù)據(jù)安全合規(guī)監(jiān)管有要求的機構(gòu)，應(yīng)定期開展數(shù)據(jù)安全合規(guī)性評估，并向有關(guān)主管

部門報送合規(guī)性評估報告；

c)涉及敏感個人信息處理、個人信息自動化決策、委托處理、他人提供（含境外）、公開、其

他對個人權(quán)益有重大影響的個人信息處理活動等，應(yīng)事先開展個人信息保護影響評估，評估

記錄至少保存三年。

9.1.3數(shù)據(jù)安全管控

數(shù)據(jù)安全管控包括如下要求：

a)針對不同的數(shù)據(jù)保護級別，依據(jù)數(shù)據(jù)保護策略實施相應(yīng)級別的數(shù)據(jù)訪問權(quán)限、數(shù)據(jù)防泄漏、

數(shù)據(jù)接口管控；

b)在終端層面及時對異常數(shù)據(jù)操作行為進行預警；

c)在網(wǎng)絡(luò)層面對異常數(shù)據(jù)操作行為及時定位和阻斷；

d)在硬件層面對可能造成數(shù)據(jù)泄露或異常的物理行為進行物理層面的阻斷。

6

DB4403/TXXX—XXXX

9.2數(shù)據(jù)收集

數(shù)據(jù)收集安全包括如下要求：

a)在平臺收集之前，對收集設(shè)備及軟件應(yīng)使用身份鑒別技術(shù)進行雙向身份認證，確保收集設(shè)備是

用戶所允許的，不應(yīng)未經(jīng)授權(quán)訪問和非法使用用戶個人信息；

b)對不同等級的數(shù)據(jù)使用不同的收集標準，應(yīng)對敏感數(shù)據(jù)設(shè)置高等級的收集要求；

c)收集數(shù)據(jù)前，應(yīng)對收集的數(shù)據(jù)類型進行確認，并保障不同類型數(shù)據(jù)收集的合法性和機密性收集

數(shù)據(jù)類型包括重要數(shù)據(jù)、個人信息和一般數(shù)據(jù)；

d)測繪信息、高精度定位等相關(guān)國家安全的重要數(shù)據(jù)，應(yīng)向相關(guān)監(jiān)管機構(gòu)進行報備；

e)與用戶身份、位置信息等相關(guān)的個人信息，應(yīng)通過顯式的方式告知用戶并獲得用戶明示同意，

并說明數(shù)據(jù)收集所依據(jù)的國家法律法規(guī)及業(yè)務(wù)需求；

f)可能影響人員及車輛安全的重要數(shù)據(jù)的收集，應(yīng)進行簽名并加蓋時間戳；

g)對用戶數(shù)據(jù)的收集應(yīng)在提供相應(yīng)服務(wù)的同時進行。若業(yè)務(wù)需要事先收集相關(guān)數(shù)據(jù)，應(yīng)向用戶明

示事先收集的目的和范圍，并且在用戶同意的情況下方可繼續(xù)；

h)收集用戶使用行為等用戶數(shù)據(jù)時，應(yīng)提示用戶并向用戶提供關(guān)閉數(shù)據(jù)收集的功能；

i)對于軟件中非應(yīng)用必須的數(shù)據(jù)收集，系統(tǒng)應(yīng)進行適當?shù)母深A，比如娛樂導航等應(yīng)用軟件不能訪

問車機系統(tǒng)的敏感數(shù)據(jù)；

j)應(yīng)遵循最小化原則，只收集與業(yè)務(wù)功能相關(guān)所需的數(shù)據(jù)；

k)收集的個人信息的類型應(yīng)與業(yè)務(wù)功能有直接關(guān)聯(lián)。

l)自動收集個人信息的頻率應(yīng)是實現(xiàn)服務(wù)的業(yè)務(wù)功能所必需的最低頻率；

m)間接獲取個人信息的數(shù)量應(yīng)是實現(xiàn)服務(wù)的業(yè)務(wù)功能所必需的最少數(shù)量。

注:直接關(guān)聯(lián)是指沒有該等信息的參與，產(chǎn)品或服務(wù)的功能無法實現(xiàn)。

9.3數(shù)據(jù)存儲

數(shù)據(jù)存儲安全包括如下要求：

a)敏感數(shù)據(jù)應(yīng)存儲在安全存儲區(qū)域，或為敏感數(shù)據(jù)設(shè)置適當?shù)脑L問權(quán)限，只允許被授權(quán)的應(yīng)用訪

問；

b)存儲個人生物識別信息時，應(yīng)采用技術(shù)措施確保信息安全后再進行存儲，例如將個人生物識別

信息的原始信息和摘要分開存儲，或僅存儲摘要信息；

c)設(shè)備中的口令、密鑰等敏感數(shù)據(jù)應(yīng)以非明文方式存儲；

d)對被授權(quán)訪問數(shù)據(jù)的人員，應(yīng)建立最小授權(quán)的訪問控制策略，使其只能訪問職責所需的最少夠

用的信息，且僅具備完成職責所需的最少的數(shù)據(jù)操作權(quán)限；

e)應(yīng)控制敏感數(shù)據(jù)（如輸入的賬號密碼信息、指紋信息等）的使用范圍和使用時間，保證敏感服

務(wù)不被非法使用。若超出服務(wù)范圍和使用時間則設(shè)備應(yīng)退出敏感服務(wù)并返回到正常模式；

f)未向用戶明示或未經(jīng)用戶同意不應(yīng)擅自修改用戶數(shù)據(jù)；

g)個人信息保存期限應(yīng)為實現(xiàn)個人信息主體授權(quán)使用的目的所必需的最短時間，超出上述個人信

息保存期限后，應(yīng)對個人信息進行刪除或匿名化處理；

h)傳輸和存儲個人敏感信息時，應(yīng)采用加密等安全措施；

i)應(yīng)提供數(shù)據(jù)的備份與恢復功能，定期備份重要數(shù)據(jù)；

j)車輛信息系統(tǒng)中的應(yīng)用配置數(shù)據(jù)等應(yīng)具有備份，應(yīng)用異常時應(yīng)可使用備份數(shù)據(jù)恢復；

k)應(yīng)具備相關(guān)的災(zāi)難恢復機制,保證業(yè)務(wù)的持續(xù)性；

l)數(shù)據(jù)的存儲期限應(yīng)滿足保存六個月的要求。

9.4數(shù)據(jù)傳輸

7

DB4403/TXXX—XXXX

數(shù)據(jù)傳輸安全包括如下要求：

a)車載終端上傳數(shù)據(jù)到云端服務(wù)器，車輛身份標識應(yīng)做匿名化處理，匿名后標識應(yīng)保證唯一，不

重復；

b)應(yīng)采用校驗技術(shù)或密碼技術(shù)保證通信過程中重要數(shù)據(jù)的完整性；

c)應(yīng)建立跨境數(shù)據(jù)的評估、審批及監(jiān)管控制流程，并依據(jù)流程實施相關(guān)控制并記錄過程。

9.5數(shù)據(jù)使用

數(shù)據(jù)使用安全包括如下要求：

a)使用個人信息時，不應(yīng)超出與收集個人信息時所聲稱的目的具有直接或合理關(guān)聯(lián)的范圍。因業(yè)

務(wù)需要，確需超出上述范圍使用個人信息的，應(yīng)再次征得個人信息主體明示同意；

b)應(yīng)保障數(shù)據(jù)在授權(quán)范圍內(nèi)被訪問、處理，防止數(shù)據(jù)被竊取、泄露、刪除；

c)根據(jù)數(shù)據(jù)使用過程中數(shù)據(jù)安全需求設(shè)立數(shù)據(jù)安全域，同一安全域應(yīng)具有相同的訪問控制和邊界

控制策略，保證數(shù)據(jù)的安全；

d)在數(shù)據(jù)使用的過程中，應(yīng)使用數(shù)據(jù)脫敏等技術(shù)防止隱私信息泄露；

e)對數(shù)據(jù)使用的日志應(yīng)進行管理和審計；

f)數(shù)據(jù)被訪問時應(yīng)有記錄，必要時應(yīng)對數(shù)據(jù)主體進行訪問提醒，數(shù)據(jù)操作者應(yīng)在授權(quán)范圍內(nèi)進行

訪問。

9.6數(shù)據(jù)共享

數(shù)據(jù)共享安全包括如下要求：

a)應(yīng)對數(shù)據(jù)的共享行為進行授權(quán)和管理；

b)敏感數(shù)據(jù)向第三方分享過程中，應(yīng)采用數(shù)據(jù)去標識化技術(shù)，保障數(shù)據(jù)分享安全；

c)有效管理數(shù)據(jù)共享行為，防范數(shù)據(jù)共享過程中被竊取或者泄露。

9.7數(shù)據(jù)銷毀

數(shù)據(jù)銷毀安全包括如下要求：

a)建立數(shù)據(jù)銷毀與刪除規(guī)程，明確數(shù)據(jù)銷毀與刪除場景、方式及審批機制，設(shè)置相關(guān)監(jiān)督角色，

應(yīng)記錄數(shù)據(jù)銷毀與刪除操作過程；

b)委托數(shù)據(jù)合作方完成數(shù)據(jù)處理后，應(yīng)及時銷毀委托相關(guān)的數(shù)據(jù)，法律、法規(guī)另有規(guī)定或者雙方

另有約定的除外；

c)根據(jù)要求、約定刪除數(shù)據(jù)或完成數(shù)據(jù)處理后無需保留源數(shù)據(jù)的，應(yīng)及時刪除相關(guān)數(shù)據(jù)；

d)當運營主體停止運營其產(chǎn)品或服務(wù)時，應(yīng)及時停止收集相關(guān)數(shù)據(jù)并對所持數(shù)據(jù)進行刪除或匿名

化處理。

10網(wǎng)絡(luò)安全保障要求

10.1密碼安全

密碼安全包括如下要求：

a)用于車載設(shè)備中使用的密碼產(chǎn)品和密碼服務(wù)，應(yīng)滿足GB/T39786—2021中的附錄A的要求；

b)用于車載設(shè)備中使用的密鑰的全生命周期管理，應(yīng)滿足GB/T39786—2021中的附錄B的要求；

c)應(yīng)支持商用密碼算法，包括但不限于SM2、SM3、SM4、SM9等。

10.2算法安全

8

DB4403/TXXX—XXXX

算法安全包括如下要求：

a)所使用的相關(guān)算法應(yīng)采用國家或行業(yè)主管部門批準使用的，安全有效期內(nèi)未被破解的算法；

b)應(yīng)采用具有足夠強度的算法和足夠長度的密鑰進行密碼運算；

c)應(yīng)將安全算法及密鑰固化在專用安全區(qū)域或安全模塊；

d)使用人工智能算法實現(xiàn)自動駕駛或識別周邊車輛功能的應(yīng)用軟件，應(yīng)具備防范惡意樣本造成的

逃逸攻擊、拒絕服務(wù)攻擊或內(nèi)存訪問越界。

10.3風險評估

風險評估包括如下要求：

a)應(yīng)建立智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全風險評估機制，包括確立評估標準、評估執(zhí)行主體、評估內(nèi)容、

評估周期等；

b)應(yīng)識別和管理車型產(chǎn)品與供應(yīng)商相關(guān)的風險；

c)應(yīng)確認車型的關(guān)鍵要素，對車型進行詳細的風險評估，適當處理及管理已識別的風險；

d)應(yīng)對風險評估的結(jié)果采取相應(yīng)的處置措施保護車型不受風險評估中已識別的風險影響。若相應(yīng)

的處置措施與所識別的風險不相關(guān)或不充分，車輛制造商應(yīng)確保實施其它適當?shù)奶幹么胧?，?/p>

說明